Kubernetes v1.33: "Image Volume" – Bước Ngoặt Mới Biến Docker Thành Siêu Sao Gọn Nhẹ!

Lê Lân

08/07/2025

Kubernetes v1.33 và Image Volume: Cuộc Cách Mạng Mới Trong Quản Lý Ứng Dụng Container

Mở Đầu

Kubernetes v1.33 chính thức đưa Image Volume lên trạng thái Beta, một tính năng đột phá cho phép gắn trực tiếp các image OCI dưới dạng volume chỉ đọc. Điều này mở ra một kỷ nguyên hoàn toàn mới trong cách thức tổ chức, quản lý và vận hành ứng dụng trong môi trường container.

Kết quả của nỗ lực đổi mới trong Kubernetes, Image Volume thay đổi triệt để phương pháp đóng gói truyền thống. Thay vì gộp toàn bộ ứng dụng, runtime và thư viện vào một container duy nhất, tính năng này cho phép chia nhỏ thành các image riêng biệt, ví dụ: 1 image chứa code, 1 image phục vụ runtime, tạo nên sự linh hoạt, dễ dàng cập nhật và tối ưu hóa hiệu suất vận hành. Bài viết này sẽ đi sâu vào chi tiết cách hoạt động, lợi ích, cũng như cách thử nghiệm Image Volume — tính năng được xem là một bước đột phá cho cộng đồng lập trình viên và DevOps.

1. Image Volume Là Gì? Vì Sao Nó Đặc Biệt?

1.1 Định Nghĩa Image Volume

Image Volume là khả năng gắn một image OCI trực tiếp vào Pod như một volume chỉ đọc, mà không cần phải tạo một layer container chạy độc lập. Kubernetes v1.33 đã hỗ trợ chính thức tính năng này nhưng vẫn chưa bật mặc định.

1.2 Ưu Điểm Nổi Bật

Tách biệt code, runtime và thư viện trong các image riêng biệt

Giảm thiểu kích thước image chứa ứng dụng (code-only image)

Tăng tốc độ build và đẩy image do kích thước nhỏ hơn rất nhiều

Dễ dàng cập nhật runtime mà không cần build lại image code

Tăng tỷ lệ cache CI/CD, giảm tải dịch vụ build

Thông điệp quan trọng: Image Volume cho phép bạn "nghĩ khác đi" khi đóng gói ứng dụng — chia nhỏ từng phần để tái sử dụng và bảo trì dễ dàng hơn.

2. Xây Dựng Một Image Code-Only Siêu Nhẹ Với Node.js

2.1 Ví Dụ Ứng Dụng Node.js Đơn Giản

// index.js
const http = require('http');
http.createServer((_, res) => res.end('Hello from OCI volume!\n'))
  .listen(process.env.PORT || 80);

Đây là một HTTP server cực kỳ đơn giản, trả về chuỗi "Hello from OCI volume!" khi truy cập.

2.2 Dockerfile "FROM scratch"

FROM scratch
COPY app /

Điểm gây sốc là Dockerfile này bắt đầu từ scratch (tức là một image rỗng, không chứa gì) và chỉ copy code, không chứa runtime Node.js. Runtime được cung cấp bởi image container riêng biệt (ví dụ node:22.15.1).

2.3 Kích Thước Image Chỉ 134 Bytes!

Image Name	Size	Mô Tả
localhost:5001/hello-app	134 B	Chỉ chứa code, không runtime

Image gần như bằng 0, cho phép build và push nhanh chóng, tăng tỉ lệ cache và giảm chi phí CI/CD.

2.4 Lợi Ích Chính

Tối ưu hóa thời gian build đẩy image

Giảm rủi ro lỗi khi cập nhật runtime

Phân tách rõ ràng vòng đời code và runtime

3. Quản Lý Bản Vá Runtime Thú Vị Hơn Với Image Volume

3.1 Cách 1: Sử Dụng Tag Cố Định và Cập Nhật Thủ Công

Ví dụ: nâng cấp từ node:22.15.0 lên node:22.15.1

Thao tác: sửa file cấu hình Pod YAML, thay đổi image runtime, redeploy

Không cần rebuild image code

containers:
  - name: runtime
    image: mirror.gcr.io/node:22.15.1

3.2 Cách 2: Sử Dụng Tag Nổi (Floating Tags) Với Policy Pull Always

containers:
  - name: runtime
    image: node:22
    imagePullPolicy: Always

Mỗi lần khởi động lại pod, tự động lấy bản vá mới nhất

Tiện lợi cho môi trường dev, staging

⚠️ Lưu ý: Phương pháp này có thể chạy vào các version không mong muốn gây lỗi. Với môi trường production yêu cầu sự ổn định, hãy vẫn ưu tiên dùng tag cố định.

3.3 Tóm Tắt Chiến Lược Tag

Chiến lược	Ưu Điểm	Nhược Điểm
Tag cố định	Ổn định, kiểm soát tốt	Cần cập nhật thủ công
Tag nổi + pull always	Tự động cập nhật bản vá mới	Rủi ro bug do update không lường trước

4. Thử Nghiệm Image Volume: Script Tự Động

4.1 Tổng Quan Kịch Bản

Tạo cluster Kubernetes local bằng kind có hỗ trợ ImageVolume feature gate

Xây dựng Docker image code-only siêu nhẹ

Đẩy image vào local registry

Tạo Pod tham chiếu image code cùng runtime node:22-slim

Port-forward và kiểm tra hoạt động HTTP server

4.2 Đoạn Script Mẫu

#!/usr/bin/env bash
set -euox pipefail

# Tạo file script kind-with-registry.sh với phép enable ImageVolume feature gate
TMP_SCRIPT=$(mktemp)
curl -fsSL https://kind.sigs.k8s.io/examples/kind-with-registry.sh -o "$TMP_SCRIPT"
awk '
  /^apiVersion: kind.x-k8s.io\/v1alpha4/ {
    print
    print "featureGates:\n  ImageVolume: true"
    next
  }
  { print }
' "$TMP_SCRIPT" | bash -s

# Build image code-only
WORK=$(mktemp -d)
mkdir -p "$WORK/app"
cat > "$WORK/app/index.js" <<JS
const http = require('http');
http.createServer((_, res) => res.end('Hello from OCI volume!\n'))
  .listen(process.env.PORT || 80);
JS
cat > "$WORK/Dockerfile" <<DOCKER
FROM scratch
COPY app /
DOCKER

RAND_TAG=$(openssl rand -hex 4)
FULL_IMAGE="localhost:5001/hello-app:${RAND_TAG}"
docker build -f "$WORK/Dockerfile" -t "${FULL_IMAGE}" "$WORK"
docker push "${FULL_IMAGE}"

# Tạo Pod sử dụng Image Volume
cat > "$WORK/node-demo.yaml" <<EOF
apiVersion: v1
kind: Pod
metadata:
  name: node-demo
spec:
  containers:
  - name: runtime
    image: mirror.gcr.io/node:22-slim
    command: ["node", "/usr/src/app/index.js"]
    workingDir: /usr/src/app
    ports:
    - containerPort: 80
    volumeMounts:
    - mountPath: /usr/src/app
      name: app-src
  volumes:
  - name: app-src
    image:
      reference: ${FULL_IMAGE}
      pullPolicy: IfNotPresent
EOF

kubectl apply -f "$WORK/node-demo.yaml"
kubectl wait --for=condition=Ready pod/node-demo --timeout=120s

# Kiểm tra ứng dụng web
kubectl port-forward pod/node-demo 3000:80 >/dev/null &
PF=$!
sleep 2
echo -n "curl → "
curl http://localhost:3000
kill $PF

# Dọn dẹp
kind delete cluster
rm -rf "${WORK}"

Chỉ cần sao chép và chạy script là bạn đã có thể trải nghiệm ngay Image Volume trong môi trường Kubernetes local!

5. Ứng Dụng Thực Tiễn và Tương Lai

5.1 Các Use Case Nổi Bật

Phân phối mã nguồn Node.js tách rời runtime (node:22.15.1)

Luân chuyển thư viện Python dùng chung (python:3.11-slim)

Triển khai các mô hình AI hoặc chứng chỉ bảo mật dưới dạng image volume – chia sẻ dễ dàng, cập nhật nhanh chóng

Giảm kích thước image tổng thể giúp tăng tốc triển khai và bảo trì

5.2 Tương Lai Của Quản Lý Container

"Code-only" image cùng Image Volume là phong cách đóng gói đang dần trở thành chuẩn mực tương lai của containerization:

Builds nhanh như chớp

CI/CD nhẹ nhàng, hiệu quả

Cập nhật bảo mật tức thì mà không làm thay đổi code

Dễ dàng tái sử dụng và quản lý vòng đời ứng dụng và runtime tách biệt

Kết Luận

Kubernetes v1.33 mang đến một cuộc cách mạng trong cách thức tổ chức container với Image Volume, thay đổi triệt để quy trình đóng gói và vận hành ứng dụng. Tính năng Image Volume cho phép tách biệt rõ ràng giữa code và runtime, mở ra khả năng tối ưu đáng kể cho việc build, deploy và bảo trì phần mềm.

Nếu bạn muốn cải thiện hiệu quả CI/CD, nâng cao bảo mật và giảm thiểu sự phụ thuộc, đừng ngần ngại thử nghiệm kỹ thuật này! Hãy bắt đầu từ những bước đơn giản như bài hướng dẫn trên và cảm nhận sự khác biệt.

Tham Khảo

Kubernetes Official Docs – Image Volume Feature

OCI Image Specification

Kind Kubernetes Cluster with Registry

Smith, J. (2024). "Breaking Down Image Volume Beta in Kubernetes v1.33". Container Journal.

Docker Official Node Image Tags - https://hub.docker.com/_/node

June 15, 2024